Adobe Fixes Actively Exploited Zero-Day in Acrobat Reader
2026/04/13 gbhackers — Adobe が公開したのは、Windows/macOS 向けの Acrobat/Reader に存在する深刻なゼロデイ脆弱性に対処する緊急セキュリティ・アップデートである。Adobe のアドバイザリ APSB26-43 によると、この脆弱性は既に実環境で悪用されており、Priority 1 として扱われている。この脆弱性 CVE-2026-34621 (CVSS 8.6) は、オブジェクト・プロトタイプ属性の不適切な変更制御 (Prototype Pollution ) に分類される (CWE-1321)。
GitHub Advisory Database によると、アプリケーションがオブジェクト初期化属性を含む外部入力を受け取る際に、コア・プロトタイプの変更制御に失敗することで、この問題が発生する。
悪用に成功した攻撃者は、カレント・ユーザー権限で任意のコード実行を引き起こす可能性がある。ただし、このエクスプロイトの成立には、被害者が細工された悪意ある PDF ファイルを開くという、ユーザー操作が必要になる。
当初、脆弱性 CVE-2026-34621 は、CVSS スコア 9.6 (Network) と評価されていたが、2026年4月12日に Adobe は、スコアを 8.6 に修正し、攻撃ベクターを Local (AV:L) に変更した。
発見者である EXPMON 創設者 Haifei Li によると、この脆弱性が悪用されると、PDF 内に埋め込まれた悪意の JavaScript 実行が可能になる。
脅威インテリジェンス情報によると、このゼロデイ脆弱性は、2025年後半から継続的な攻撃において悪用されている可能性がある。
以下のバージョンを使用しているユーザーおよび組織が、影響を受ける。
- Acrobat DC (Continuous ) 26.001.21367 以下 (Windows/macOS)
- Acrobat Reader DC (Continuous ) 26.001.21367 以下 (Windows/macOS)
- Acrobat 2024 (Classic 2024 ) 24.001.30356 以下 (Windows/macOS)
対策
すでに悪用が確認されているゼロデイ脆弱性であるため、ユーザー組織は最優先でパッチを適用する必要がある。Adobe は、以下の対策を推奨している。
- エンドユーザーは “Help > Check for Updates” から手動でソフトウェアを更新する必要がある。
- 自動更新が有効なシステムではユーザー操作なしでパッチが適用される。また、公式 Acrobat Reader Download Center からインストーラを直接取得することも可能である。
- 大規模環境を管理する IT 管理者は、標準的なデプロイ手法でアップデートを展開する必要がある。Windows 環境では、AIP-GPO/bootstrapper/SCUP/SCCM を使用し、macOS 環境では Apple Remote Desktop および SSH を利用して配布する。
この脆弱性は、以下のバージョンで対処されている。
- Continuous 26.001.21411
- Acrobat 2024 Windows 24.001.30362
- Acrobat 2024 macOS 24.001.30360
訳者後書:この脆弱性の原因は、Adobe Reader が PDF 内の JavaScript を処理する際に発生する、プロトタイプ汚染 (Prototype Pollution) という特殊な欠陥にあります。この問題により、プログラムが扱うオブジェクトのひな型 (プロトタイプ) の属性を、外部から上書きできてしまいます。この仕組みを悪用する攻撃者は、本来は制限されているはずの権限を操作して PDF を開くだけで、任意のプログラム実行を引き起こす恐れがあります。ご利用のチームは、ご注意ください。よろしければ、2026/04/08 の「Adobe Reader の深刻な脆弱性 CVE-N/A:洗練されたゼロデイ攻撃を観測」も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.